С приближением нового десятилетия достаточно большое количество пользователей по всему миру всё ещё хранят свои данные для доступа к тем или иным сервисам и инструментам на своих смартфонах, а также других мобильных устройствах. Увы, это большая ошибка. Сегодня объясним, чем это чревато и как следует защищать свои пароли и приватные ключи.
Почему на смартфоне хранить пароли и приватные ключи небезопасно?
Современный человек может иметь аккаунты в социальных сетях и мессенджерах, пользоваться электронными ящиками, приватными ключами, онлайн-банкингом и даже криптокошельками. Не редко в круг таких сервисов и инструментов входят не менее важные программы, связанные с рабочими процессами и так далее.
Пользователи зачастую хранят пароли и другие важные данные на собственных мобильных устройствах в рамках обычных файлов — это может быть в том числе и типичная накопленная база с паролями в заметках или других видах текстовых документов. К сожалению, такое, казалось бы, безобидное отношение к сохранности своих данных, не может казаться столь защищённым.
Дело в том, что все эти данные хранятся на устройствах пользователей, которые, в первую очередь, подключены к Сети — это значит, что пароли и приватные ключи могут подвергаться киберугрозам извне.
Любые трояны, вирусы или иные результаты хакерских атак могут привести к тому, что в один прекрасный день вы останетесь, например, без доступа к электронной почте, к которой зачастую привязаны все ключевые аккаунты в других сервисах.
Потеря доступа к электронному ящику может облегчить задачу киберпреступников, желающих добраться до управления вашими учётными записями. Несмотря на то, что всё чаще сервисы стараются противодействовать взломам аккаунтов своих пользователей, практика показывает не столь утешительную статистику, вынуждающую задумываться над тем, что всё же необходимо «залатать» любую дыру, которая может облегчить злоумышленнику доступ к той же переписке.
Цель таких взломов ясна — обычно киберпреступники, добыв на вас компрометирующую информацию во взломанных аккаунтах, могут начать давить на вас шантажом. Опасности может подвергнуться и онлайн-банкинг, и в целом, любой другой сервис, имеющий двухфакторную аутентификацию по SMS — в 2020 году обойти и данную меру защиты профессиональным киберпреступникам не так уж и сложно.
Особое внимание злоумышленниками уделяется и криптокошелькам — успешное получение доступа к ним остаётся безнаказанным. Более того, подкрепляет желание ухватиться за подобный лакомый кусочек и отсутствие необходимости в особых схемах по скрытию следов после перевода криптовалюты на свои активы.
Какое решение может стать альтернативным способом защиты?
Ответить на этот вопрос не каждому пользователю под силу. Долго думали над этим вопросом и в KeepMySeed. Позднее команда пришла к интересной идее, придумав бескомпромиссный метод безопасного хранения секретных данных пользователей. Для решения задачи понадобится NFC метка.
Перед тем как понять, в чём заключается преимущество NFC метки и как вообще работает метод, который предлагает команда KeepMySeed, необходимо разобраться, что это за инструмент. NFC метка — это «пассивное» устройство, работающее без питания и только при подключении к определённому диапазону. Такая метка сама по себе может передавать информацию только на определённое «активное» устройство (например, смартфон).
NFC метка по факту никак не может быть подключена к Сети — риск возможности подвергнуться хакерским атакам, вирусам или троянам, снижается до нуля. Более того, такая метка очень простая в использовании и при этом достаточно дешёвая: обычная NFC метка в виде наклейки стоит от 10 рублей за штуку. Главная её особенность — возможность записывать на неё важные данные и прятать, например, под обложку паспорта, то есть документа, который обычно находится в надёжном месте.
Как это работает?
Для реализации своей идеи команда KeepMySeed разработала специальное приложение для Android (и в скором времени намерена запустить проект на iOS). Эта программа позволяет записать на NFC метку ваши секретные данные: пароли, приватные ключи — в общем, что душе угодно.
Во время ввода данных программу можно попросить зашифровать вписываемую информацию методом AES — самым безопасным симметричным алгоритмом блочного шифрования. Завладение зашифрованной таким алгоритмом информацией не позволит получить упорядоченные данные — киберпреступник будет нуждаться в пароле-ключе для дешифровки, который вводился при записи и остался только в вашей голове.
Что нужно для записи паролей, приватных ключей и других данных?
- Открыть на смартфоне с NFC приложение KeepMySeed.
- Поднести устройство к NFC-метке.
- Записать желаемую информацию во всплывшем окне после выбора пункта записи с шифрованием.
- В том же диалоговом окне ввести пароль-ключ, который далее будет использоваться для шифровки и дешифровки данных в NFC метке.
- После ввода вновь поднести смартфон к NFC метке — вуаля, данные были перенесены в метку!
Скачать приложение можно в Google Play — в KeepMySeed заявляют о наличии открытого исходного года и доступности к проведению аудита. Информация об этом оставлена на странице магазина приложений. Если найти NFC метку сложно, в команде также предлагают заказать её на своём сайте.
Выход iOS-версии приложения KeepMySeed будет анонсирован в Telegram-канале. Вопросы по работе приложения предлагается задавать в чате.